Kia dicht lek in website dat het mogelijk maakte auto’s over te nemen

Kia heeft een lek in zijn website gedicht waardoor kwaadwillenden op afstand toegang konden krijgen tot auto's door alleen het kenteken in te vullen. Hierdoor was het mogelijk om de locatie van auto's te volgen, deuren te ontgrendelen en motoren te starten.

Beveiligingsonderzoeker Sam Curry legt in een blogpost uit hoe hij samen met enkele andere onderzoekers het lek heeft gevonden en wist uit te buiten. Hij kwam erachter dat de api van de websiteportal waarop eigenaren hun Kia-auto kunnen registreren, een lek bevatte waardoor het mogelijk was om zonder autorisatie toegang te krijgen tot de privileges van een Kia-dealer. Daardoor konden ze apicalls uitvoeren die alleen voor dealers bedoeld waren.

Kia-dealers hebben verregaande privileges, ontdekten de onderzoekers. Door het voertuigidentificatienummer van een geregistreerde auto in te voeren, kregen ze via de api toegang tot de naam, het telefoonnummer en het e-mailadres van de eigenaar van die auto. Met die gegevens konden de onderzoekers zichzelf aanwijzen als de primaire accounteigenaar, waarna ze internetcommando's naar de auto konden sturen. Het was daardoor mogelijk om de auto van een afstand te ontgrendelen, vergrendelen en lokaliseren. Ook konden ze de motor in- of uitschakelen en toeteren. Bij sommige modellen was het daarnaast mogelijk om de camera in te schakelen.

Met alleen het kentekennummer is het relatief eenvoudig om achter het voertuigidentificatienummer te komen, dus hebben de onderzoekers een tool ontworpen die dit proces versimpelt. Door enkel het kenteken van een Kia-auto in te voeren, zoekt de tool automatisch het bijbehorende vin en kunnen ze meteen commando's naar de auto versturen. Volgens de onderzoekers maakte dit lek het mogelijk om bijna iedere Kia-wagen die na 2013 is geproduceerd, over te nemen.

De onderzoekers hebben Kia in juni op de hoogte gesteld van het lek en de autofabrikant heeft dit inmiddels gedicht. Volgens Kia is dit lek nooit uitgebuit door een kwaadwillende.

Door Kevin Krikhaar

Redacteur

Feedback • 27-09-2024 08:11
205 • submitter: eprillios

27-09-2024 • 08:11

205

Submitter: eprillios

Lees meer

Hackers konden locatie van Subaru-auto's in VS inzien en auto's ontgrendelen
Hackers konden locatie van Subaru-auto's in VS inzien en auto's ontgrendelen Nieuws van 24 januari 2025
Kia gaat inzichten uit data van automobilisten delen met overheden en bedrijven
Kia gaat inzichten uit data van automobilisten delen met overheden en bedrijven Nieuws van 5 december 2024
Europol rolt autodievenbende op voor hacken van sleutelloze auto's
Europol rolt autodievenbende op voor hacken van sleutelloze auto's Nieuws van 17 oktober 2022
Gegevens van miljoenen Nederlandse autobezitters zijn te koop op forum
Gegevens van miljoenen Nederlandse autobezitters zijn te koop op forum Nieuws van 25 maart 2021
Duitse autobond: sleutelloze toegang tot auto's is goedkoop te omzeilen
Duitse autobond: sleutelloze toegang tot auto's is goedkoop te omzeilen Nieuws van 18 maart 2016
Meer producten en artikelen
Beveiliging en antivirus KIA Hack

Reacties (205)

-Moderatie-faq
205
204
73
8
0
121
Wijzig sortering

Sorteer op:

Weergave:
Kecin 27 september 2024 08:28
Ik heb het een aantal jaren terug een melding en proof-of-concept neergelegd bij een grote Duitse fabrikant. Je ziet er genoeg van op de wegen. Alles met hun remote toegang was ook over te nemen destijds. Vrijdag's gemeld. S'maandags gefixt en in het weekend zitten met advocaten. Zeer netjes. Dat ging echter niet om dealerfuncties maar om de app van de eindgebruiker, in de API mistte een validatie (hij zat er wel maar werd verkeerd gecheckt). Bij andere auto systemen verbaasd me het ook niets, maar op basis van VIN kan zeer vervelend wezen. Als je dan weet welke auto je wil jatten dan kan je simpelweg even de VIN fotograferen bij de ruit (of in Nederland het kenteken onthouden vaak). Al met al goed dat het is opgelost. Op grote schaal kan je er nog te weinig mee, tenminste in mijn geval. Ik kon zien waar een bepaalde luxe merk zich bevond, toegang tot verschaffen en ook remote aanzetten i.v.m. de veiligheidsmodule in de auto dacht ik. Zeker niet wenselijk, maar zolang we niet op stuur overnemen zitten is het gevaar een stuk kleiner en kijk je toch echt naar specifieke diefstal van duurdere auto's.

Kia en Hyundai (hoewel ik moet zeggen het zeer fijne auto's vindt!) staan sowieso niet heel bekend om hun goede anti-diefstal. Google maar eens "Kia Boys". Een USB stick is genoeg (qua vorm) om de auto te starten.

[Reactie gewijzigd door Kecin op 27 september 2024 11:25]

Blokker_1999
@Kecin27 september 2024 08:56
In de VS zijn ze inderdaad eenvoudig te stelen, maar dat komt dan weer doordat Hyundai/Kia had nagelaten een startonderbreker in te bouwen, iets wat in de EU bij wet verplicht is.
Guru Evi @Blokker_199927 september 2024 20:23
Een startonderbreker is gemakkelijk te omzeilen en niet de reden dat ze eenvoudig te stelen zijn, de methode waar ze gestolen worden omzeilt niet alleen het slot maar ook de startonderbreking, het probleem met de Kia/Hyundai is dat al de electronica gemakkelijk bereikbaar was zonder de motorkap open te doen gevolgd door een TikTok 'challenge' waardoor tieners en masse inbraken pleegden.

Net zoals vroeger, bepaalde modellen van auto's was je starter bovenop zodat het zonder sleutel twee bouten kortgesloten kon worden met een schroevendraaier zonder zelfs de motorkap open te doen.

In verband met dit verhaal specifiek, een paar jaar geleden een Toyota gehuurd, kon ik ook gewoon een account maken op de app en met het identificatienummer van de auto kreeg ik 12 maand 'gratis' toegang en krijg nog steeds mailtjes met opties voor verlenging. Ik kon opvragen waar de auto was, en de status zien, radiostations programmeren en apps installeren, alhoewel voor het remote starten via de app moest je betalen.

[Reactie gewijzigd door Guru Evi op 27 september 2024 20:28]

seez @Kecin27 september 2024 10:21
Als leek kan ik me wel enigszins voorstellen waarom het nodig is om 'in het weekend met advocaten te zitten', maar zou je kunnen uitleggen wat er precies tijdens zo'n gesprek aan bod komt?
Kecin @seez27 september 2024 11:11
Ik zou er graag zo inhoudelijk op willen reageren, maar het gaat vooral om een NDA, oftewel; niets zeggen over wat je weet (hun naam uit de media houden), damage control, soms een vergoeding uit goede wil. Helaas moet het zo vaag blijven. Dus de casus aanzich mag ik bespreken tot het punt dat het herleidbaar is tot dit bedrijf in kwestie. Dat weekend proberen ze je vooral stil te houden terwijl het nog een lek is en de uitval daarna...

[Reactie gewijzigd door Kecin op 27 september 2024 11:12]

007Nightfire @Kecin27 september 2024 11:26
Een hele Nederlandse vraag, dus als je er niets over wil of kan zeggen helemaal prima, maar ik stel hem toch; heb je er nog iets leuks aan overgehouden? "soms een vergoeding uit goede wil" klinkt als bedankt voor de moeite en tot ziens. Kan me voorstellen dat het voor een automerk extreem belangrijk is om dit ten eerste op te sporen en ten tweede stil te houden. Als iemand daar aan meewerkt , dan is een auto snel gegeven toch. Of denk ik nu veel te groot.
FreezeXJ @007Nightfire27 september 2024 13:01
Ga maar uit van geen hele autos, eerder een paar honderd euro at most, tenzij expliciete bug-bounty. Het is een bedankje, geen betaling.
En nee, je bent niks verplicht (en op de zwarte markt is zoiets misschien veel waard) maar zij kunnen ook ofwel meewerken, ofwel lekker dwarsliggen en maximaal juridisch pesten (zie ook https://tweakers.net/nieu...ie-om-kaarten-vraagt.html ).
Kecin @FreezeXJ27 september 2024 13:34
Dit :). En als je om iets vraagt dan is het ook al snel afpersing.
Heedless @FreezeXJ27 september 2024 19:39
Mwah, ligt echt aan de partij. Weleens een datalek gemeld en hebben mij toen uit zichzelf 2k gegeven. Ok, in store credit, maar toch (en verkochten genoeg leuks).
evers97 @007Nightfire27 september 2024 12:08
Gezien de NDA zou ik zeggen van wel, anders zou OP gewoon direct naar de media stappen en geen NDA ondertekenen, je bent dit natuurlijk helemaal niet verplicht
Bender @evers9727 september 2024 12:56
Dan ga je uit van het slechte van OP, niet iedereen is zo en wil hij wellicht ook niet dat mensen het gaan misbruiken.
Frame164 @Kecin27 september 2024 10:53
Veel van die functionaliteit is ooit begonnen toen internet nog niet zo bekend was. Het was eigenlijk vooral bedoeld voor dealers die het voor onderhoud konden gebruiken. Helaas zijn de meeste autofabrikanten geen softwarebedrijven waardoor de huidige softwareversies eigenlijk nog steeds van het niveau die je alleen in een afgesloten omgeving moet gebruiken.
RogerWilco2 @Frame16427 september 2024 15:23
Ach nee. "Toen het internet nog niet zo bekend was".

Autofabrikanten waren heel laat met dit soort dingen, lang nadat "het internet bekend was".

Ik ben het helemaal met je eens dat autofabrikanten geen software bedrijven zijn. Heel veel hardware makers snappen niks van software en zijn dus ook heel slecht in nadenken over fatsoenlijke beveiliging.
D43m0n @Kecin27 september 2024 11:14
Dat het al langer speelt is vast een goed bewaard geheim of anders netjes afgesproken tussen onderzoeker(s) en fabrikanten. Hoe groot acht jij de kans dat de nieuwste software integraties vatbaar worden op “ransomware” in een auto die altijd connected is en uitgerust is met FSD? Bijvoorbeeld dat je als bestuurder tijdens het rijden geconfronteerd wordt met een auto die in opdracht het stuur overneemt en je dreigt een relatief klein bedrag te betalen of anders crashed de auto even ergens tegenaan?
Kecin @D43m0n27 september 2024 11:17
Als je bijvoorbeeld kijkt naar Tesla en hun steer-by-wire dan is dat wel interessant op Defcon. Volgens mij hacken ze daar elk jaar wel een Tesla :).
2015: Zeggen ze nog maak je niet te druk, https://www.cnet.com/road...hey-did-it-at-def-con-23/
Tesla heeft daarna hun bug bounty omhoog gegooid omdat ze zelf ook weten dat dat natuurlijk mensen op zal roepen om het te hacken, fixen en dan te mogen publiceren: https://www.securityweek....ter-experts-hack-model-s/

Waar ik wel nog wat op verwacht is de Cybertruck, die stuurt en rijdt volledig digitaal (je stuur is eigenlijk gewoon een gamecontroller, input links = computer die links stuurt).

Maar je kan een Tesla makkelijk een noodstop laten maken op de snelweg door een bepaalde frequentie op de radar's te mikken. Hij ziet dan een auto of persoon en gaat ineens vol in de ankers. Of dat nogsteeds werkt weet ik niet, maar dat zou in principe ook bij andere fabrikanten mogelijk wezen.

Ook een leuke: Watch hackers take over a Tesla's brakes from 12 miles away
Chinese hacking collective Keen Security Lab also controlled the doors and lights
https://www.wired.com/sto...-chinese-collective-keen/

[Reactie gewijzigd door Kecin op 27 september 2024 11:24]

Cairo555 @Kecin27 september 2024 11:56
Moderne Tesla's hebben alleen nog camera's, geen andere sensoren. Vermoed dat een noodstop maken dus niet meer werkt.
Richh @Kecin28 september 2024 03:13
Steer by wire maakt natuurlijk praktisch geen verschil tov alle andere auto's die geautomatiseerd kunnen sturen. Er is bij heel veel auto's al een computersysteem verbonden met het stuur. Dat je die 'fysiek' wel of niet voor je zou zien draaien (en of je 'sterk' genoeg bent om dit te blokkeren of aan te passen) is nu al een kwestie van softwareafstelling en dat is bij steer by wire natuurlijk niks anders.

Overigens is de Cybertruck, itt tot wat velen denken, niet de eerste productieauto met steer by wire. Dat is namelijk een Lexus RZ.

Het is onzin dat je een Tesla zou kunnen trucen om te remmen door de radars een bepaalde frequentie te sturen. In de eerste plaats omdat Tesla's al jaren zonder radars geleverd worden :P en in de jaren daarvoor, zat er gewoon eenzelfde 'radar' in als alle andere voertuigen die tot ACC in staat zijn, dus ben ik heel benieuwd waarom een Tesla daar vatbaarder voor zou zijn dan andere auto's.
apeklootje @D43m0n27 september 2024 13:06
Zou zeggen als ik de auto betaal mag ik er de simkaart ook uitslopen....
thomasv 27 september 2024 08:19
Waarom kunnen dealers überhaupt autos van klanten via gps volgen en deze ont-/vergrendelen?! Dat is toch waanzin. Louis Rossmann, kom er maar in.
Christoxz @thomasv27 september 2024 08:25
Nee dat kunnen dealers (eigenlijk) niet. Dealers konden/kunnen alleen nieuwe accounts toewijzen aan een voertuig, alleen zou dit nooit mogen gebeuren zonder dat de huidige eigenaar dit bevestigd.
Door een nieuw account toe te wijzen, kregen de onderzoekers toegang tot de auto als 'eigenaar'.
Blokker_1999
@Christoxz27 september 2024 08:39
Leuk, ik verkoop mijn wagen, de dealer zet alles in orde voor de nieuwe klant en ik negeer alle meldingen die ik krijg om de account over te zetten.

En nu?

Het lijkt me dat het eerste probleem erin bestaat dat het VIN gebruikt wordt voor identificatie daar in sommige landen het VIN eenvoudig is terug te vinden aan de hand van het kenteken. Er zou een bijkomende code moeten zijn die bijv. ergens in de wagen terug is te vinden zodat je al toegang moet hebben tot de wagen voordar je de transfer effectief kunt starten, of bijv. een code die wordt weergegeven op het scherm van de wagen zodat men weet dat je ook in bezit bent van die wagen. Dat maakt het voor dieven ook moeilijker want men moet de wagen al kunnen starten voordat men er via de APIs toegang toe krijgt.
Aurora @Blokker_199927 september 2024 11:13
Leuk, ik verkoop mijn wagen, de dealer zet alles in orde voor de nieuwe klant en ik negeer alle meldingen die ik krijg om de account over te zetten.
Zo werkt het niet heb ik gemerkt. Ik heb ooit een auto (Opel) ingeruild. Achteraf was ik benieuwd of ik nog steeds toegang had. Ik kon zien dat deze op het terrein van de dealer stond, maar even later had ik geen toegang meer. Geen melding ontvangen, geen bevestiging van wisselen eigenaar.
RogerWilco2 @Aurora27 september 2024 15:27
Dat is toch raar?

En wie gaat over 20, 30, 40 jaar die software nog onderhouden?
En een OS waar de software op draait?
En de hardware die de communicatie verzorgt?
Luchtbakker @RogerWilco227 september 2024 19:14
Over een jaar of 15 trekt de fabrikant de stekker eruit, en werkt de software gewoon keurig alleen zonder de integraties. je 4G module zal dan ook misschien niet volledig meer ondersteunt worden omdat providers de frequenties opheffen.

Een fabrikant denkt daar echt wel over na.
Christoxz @Blokker_199927 september 2024 08:42
ik negeer alle meldingen die ik krijg om de account over te zetten.
Sterker nog, dat krijgt/kreeg de echte eigenaar niet eens en dat is al een probleem op zich.

Er is geen info naar buiten gegaan hoe Kia dit heeft opgelost en of er extra maatregelen zijn genomen.
Dat een dealer auto's kan overzetten is op zich prima, maar altijd met tussenkomst van de vorige eigenaar, een code, toestemming in de app of wat dan ook.

Het is/was nog steeds een probleem dat een dealer accounts kan/kon aanpassen, maar het is niet zo dat een dealer toegang had tot GPS en de overige functies.
Jeru @Christoxz27 september 2024 09:26
De regel "maar altijd met tussenkomst van de vorige eigenaar, een code, toestemming in de app of wat dan ook" snap ik in eerste instantie, maar wat nou bij overlijden van de eigenaar dan? Wie moet dan hoe de toestemming geven?
vrow @Jeru27 september 2024 10:38
Ik zou gewoon zeggen: de sleutel moet in het slot zitten, melding op het on-board systeem die je met 'ja' moet bevestigen. Dan weet je in elk geval zeker dat diegene ook fysiek toegang heeft tot de auto en dat het dus de juiste auto betreft en dat er toestemming is van iemand die in elk geval toch al in de auto kan.

Ja, echte criminelen helpt dat niet per se tegen, maar helpt wel tegen dat een dealer zomaar een auto kan overzetten zonder jouw toestemming.
The_Woesh @Christoxz27 september 2024 09:45
De dealer moet de auto kunnen overzetten op basis van de info van de RWD. Lijkt mij beter dat de oude eigenaar daar niet betrokken bij is. Als hij niet bereikbaar is/niet meewerkt ben je eigenaar van een auto terwijl je geen toegang hebt tot de eigenaar functies.
vrow @The_Woesh27 september 2024 10:41
Ja. Want jij verkoopt je auto en werkt vervolgens niet mee aan de verkoop.
Je geeft ook de sleutel er niet bij en geeft ook je bankrekeningnummer niet, gewoon om te pesten :-)

Als je je auto particulier verkoopt, dan sta je er zelf bij om het geld in ontvangst te nemen en de sleutel over te dragen. Doe je het via een dealer, dan kun je eerst de dealer eigenaar maken in de app en dan is het ook weer klaar.
Maar een dealer kan natuurlijk altijd een factory reset uitvoeren van het systeem.
ThaBilly @Blokker_199927 september 2024 08:51
Vorige week mijn Skoda opgehaald bij de dealer, daar moest de koppeling idd op VIN. Maar na het scannen van de VIN moesten we via het menu van de auto een code genereren en die invoeren in de telefoon. zal vast bij de andere VAG niet anders gaan.

Maarja, er is natuurlijk niet voor niks een kia gang (Kia Boys) in amerika, dit is het zoveelste euvel met Kia.

[Reactie gewijzigd door ThaBilly op 27 september 2024 08:52]

Rembert @ThaBilly27 september 2024 13:18
Aanvankelijk was de VIN voldoende. De QR-code op het scherm is pas later gekomen. Ontzettend veel gedoe gehad met die Skoda koppeling maar sinds een paar maanden werkt het (eindelijk) goed al blijft de functionaliteit achter op vele andere auto's. Ik kan op afstand de auto niet eens op/van slot doen - ik kan wel zien of auto op slot staat. Kortom, ik doe weinig met de app, hooguit om te zien waar de auto staat en wat de status is van de batterij. Soms werkt de app niet, maar dan blijkt gek genoeg de juiste waarde wel beschikbaar in bv. de Pump app. Koppelen van je Skoda (en elke VAG auto) met Home Assistant schijnt ook te kunnen, geen idee wat je dan kunt.
Dennisb1 @Rembert27 september 2024 16:39
Koppelen van je Skoda (en elke VAG auto) met Home Assistant schijnt ook te kunnen, geen idee wat je dan kunt.
Dan wordt het een op afstand bestuurbare race auto :9 :+
SunnieNL @Blokker_199927 september 2024 08:51
Dat hoort de dealer ook te doen bij de verkoop samen met de klant.
Volvo doet dat ook (tijdens de registratie krijg je als eigenaar/berijder een code om te de-registreren per sms.. maar die ben je natuurlijk al kwijt op het moment dat je hem na 4 jaar leasen inlevert :) en dan moet de dealer een proces door waarbij ik alsnog een nieuwe code per sms krijg voor het afmelden)
watercoolertje @Blokker_199927 september 2024 10:28
Het lijkt me dat het eerste probleem erin bestaat dat het VIN gebruikt wordt voor identificatie daar in sommige landen het VIN eenvoudig is terug te vinden aan de hand van het kenteken.
Staat gewoon achter je raam aan de voorkant hoor, iig bij mijn KIA CEED :)
Qwerty-273 @Christoxz27 september 2024 08:48
Het idee is natuurlijk dat de eigenaar de dealer daar om vraagt. Of eigenlijk dat de eigenaar het eerste klant account gewoon niet meer weet (wie slaat dat op als je een auto gaat shoppen?). Of bij een tweede hands dat de eerdere eigenaar er geen enkel belang meer bij heeft om op zo'n verzoek te gaan reageren. (de verkoop is al rond en het geld is al binnen).
FicoF @Christoxz27 september 2024 09:38
Ik heb mijn leaseauto na inleveren nog een half jaar kunnen volgen. De nieuwe eigenaar kwam er toen kennelijk pas achter alles te resetten en mijn account te verwijderen.

Het overzetten moet mijn inziens dus altijd mogelijk zijn, zonder tussenkomst van een dealer. Daar kom je namelijk nooit met een elektrische auto.
Kecin @Christoxz27 september 2024 11:18
Dat is een hele goede. Ik heb ooit een auto gehad die weg ging uit de zakelijke lease. Ik kon nog maanden daarna de auto op afstand ontgrendelen en de GPS volgen. Een tool voor de dealer is dan echt een uitkomst om hem op naam te zetten. De afgelopen 5 jaar heb ik een aantal connected auto's gehad, en de ene dealer is echt de ander niet. De meeste zoeken zelf maar op hun eigen website of bellen de importeur.
sprankel @Christoxz27 september 2024 12:53
Dat is een probleem dat al veel langer speelt, bij de meeste merken kunnen dealers sleutels bestellen van de fabrikant met de key die aan jou auto hangt. De dealer moet daar doorgaans wel serieus wat papieren voor invullen en o wee als er ooit misbruik van gemaakt word, dan heeft de dealer een serieus probleem met de fabrikant.

Maar defacto kan een dealer vaak gewoon een extra sleutel bestellen voor jou auto zonder ooit je auto aangeraakt te hebben. En hetzelfde geld voor de online diensten van een auto.

Sowiezo kan je niet afdwingen dat de vorige eigenaar toestemming moet geven, wat ga je doen met een in beslag genomen auto, of dat nu crimineel in aard is of wegens wanbetaling? De dealer moet sowiezo goed controleren voor deze een dergelijkke actie uitvoert, net zoals bij sleutels. En daarnaast kan je in de auto een melding geven in de trend van "deze auto is nu gekoppeld aan account x, indien u hiervan niets weet gelieve meteen contact te nemen met y"
FeareX @thomasv27 september 2024 09:50
Nou kijk dan deze laatste aflevering van Coldfusion maar even. Ik ben blij dat we in Europa redelijk goede privacy wetten hebben. Maar als het aan de industrie ligt trekken ze je voor iedere cent leeg.

YouTube: How New Cars Are Spying on Drivers
ucsdcom @thomasv27 september 2024 08:47
Waarom kunnen dealers überhaupt autos van klanten via gps volgen en deze ont-/vergrendelen?! Dat is toch waanzin. Louis Rossmann, kom er maar in.
Ideaal, als een klant zijn rekeningen niet betaald, zetten ze de auto gewoon uit. ;) Nou dan staan ze binnen de 10 minuten op je stoep om het bedrag zsm. te kunnen voldoen. En wordt de auto gestolen, dan zie je waar hij op een schip staat richting.....

In de USA zet de ploliie lokauto's in tegen auto diefstallen. Daar zit ook een killswitch in de software. Als de dief weg rijdt (= heterdaad van niet alleen inbraak, maar ook diefstal) dan vergrendelt men in de app de deuren en drukt de killswitch in, waardoor de auto uitvalt en de motor stopt. Wie weet had Kia zoiets voor ogen bij het programmeren van deze optie.

Dat de optie er in zit hoeft niet heel raar te zijn op zich. Wel jammer dat de beveiliging daarbij dan zo slecht is.

[Reactie gewijzigd door ucsdcom op 27 september 2024 10:39]

Polderviking @ucsdcom27 september 2024 09:25
En wordt de auto gestolen, dan zie je waar hij op een schip staat richting.....
Heb je geen reet aan.
Die info heb je ook met gewoon een GPS module, maar er gaat helemaal niemand wat doen met die info.
Genoeg voorbeelden van.
Auto land uit = auto weg.

Consumenten hebben er zelf gewoon niks aan dat dealer/fabrikant weet waar hun auto is en er controle over heeft.

[Reactie gewijzigd door Polderviking op 27 september 2024 09:33]

555Henny555 @Polderviking27 september 2024 10:30
OT: Toch handig als je na een zatte avond je auto probeert te zoeken? Gewoon even in de app kijken! :+

</sarcasm>
Alxndr @ucsdcom27 september 2024 09:32
Dat een lok-auto geprepareerd wordt lijkt me logisch, wat zo'n functie in een normale auto doet... Ik vind het wel raar, en onwenselijk.

Het is gewoon vragen om misbruik, of wachten tot het misgaat zoals hier. En wat is nou de toegevoegde waarde voor jou als eigenaar?

Maarja video deurbellen, slimme thermostaten en dat soort 'slimme' meuk is ook populair tegenwoordig, dus het zal wel aan mij liggen. :+

Ik houd het lekker bij oude tweedehands auto's, meer dan Bluetooth voor m'n muziek heb ik niet nodig en wil ik volgens mij ook helemaal niet.
watercoolertje @ucsdcom27 september 2024 10:31
[...]
Ideaal, als een klant zijn rekeningen niet betaald, zetten ze de auto gewoon uit.
Dat is illegaal gelukkig ;)

Daarom mag een hoster je hosting/domein ook niet zomaar uitzetten als je niet betaald hebt. Dat een ander zich niet aan een afspraak houd betekent niet dat je dat terug kan doen. Dat moet je via de rechter regelen.

[Reactie gewijzigd door watercoolertje op 27 september 2024 10:34]

Aurora @ucsdcom27 september 2024 11:50
En wordt de auto gestolen, dan zie je waar hij op een schip staat richting.....
Als ie al überhaupt op een schip terecht komt ga jij 'm echt niet meer kunnen tracken :)

Dit zijn dan geen 'petty thieves'. Tracking wordt eruit gesloopt of alle accu's los.

En anders is de auto in 100 onderdelen onderweg naar eindklanten.

[Reactie gewijzigd door Aurora op 27 september 2024 11:53]

Ge Someone @Aurora27 september 2024 13:18
En de auto's staan niet los op het dek. Die gaan in (zee-)containers en dan "zie" je ze niet meer (Faraday).
swhnld 27 september 2024 08:17
Geld dit probleem ook bij Hyundai aangezien dat broertje en zusje zijn, en veel zaken delen zoals de software in de auto?
djexplo @swhnld27 september 2024 08:28
Ja dit geld ook voor Hyundai...

Alle merken die een smartphone app hebben waarmee je de auto kan openen (lock/unlock), hebben servers waar over deze informatie word verzonden naar de auto.

Oftewel ook bij merken als "Audi, BMW, Buick, Chrysler, Dodge, FIAT, Ford, Jeep, Kia, Land Rover, Mazda, Porsche, Subaru, Volkswagen, Volvo", kunnen dit soort lekken ontstaan. Het zou mij ook niet verbazen dat er afspraken zijn tussen politie en merken om afroep even toegang te hebben.
swhnld @djexplo27 september 2024 08:32
Ok, en heeft Hyundai dan het lek ook gedicht?
Christoxz @swhnld27 september 2024 08:34
In de bron staat een lijst met modellen die kwetsbaar waren, lijkt Kia specifiek zijn geweest met deze kwetsbaarheid.
swhnld @Christoxz27 september 2024 08:41
Maar de merken gebruiken exact dezelfde back-end. Op design na zit er geen verschil in die auto's.
Christoxz @swhnld27 september 2024 08:45
Volgens de onderzoekers waren ook niet alle Kia modellen kwetsbaar.
Blijkbaar is het dus toch niet de 'exacte back-end' zoals je zegt, niet eens voor alle Kia modellen.
lepel @swhnld27 september 2024 08:38
Hij bedoelt dat iedere auto met “smart” functies die op afstand bestuurbaar zijn gevoelig zijn voor dit soort dingen. Niet dat Hyundai dit exacte probleem ook had.
Koekstra 27 september 2024 08:19
Mijn god. Lang leve de autosleutel en geen online gekoppelde voertuigen.

Allemaal leuk hoor die techniek, maar waarom moet dit allemaal via een website te gebruiken zijn?
Mijn relatief nieuwe auto heeft ook een app waarmee ik dit soort dingen zou kunnen, maar ik kan me echt geen nuttige toepassing bedenken (en heb het ook allemaal uitgeschakeld).

Waarom zou ik mijn auto moeten kunnen lokaliseren met een app, door hem te laten toeteren of de knipperlichten aan te sturen? Ik onthoud gewoon waar ik mijn auto parkeer.

In mijn optiek worden er allemaal technieken geïntroduceerd om problemen op te lossen die er helemaal niet zijn. En op een of andere manier is het sleutelwoord vaak 'online', 'app', en 'api'. 8)7
swhnld @Koekstra27 september 2024 08:39
Tot iemand je auto leent met jou goedkeuring en wegloopt en vergeet op slot te zetten. Dan krijg je een melding en kun je dit op afstand alsnog doen. Of je krijgt geheugen problemen op oudere leeftijd maar nog niet zo slecht dat je niet meer mag rijden.
Of je vergeet je kind (gebeurt een keer per jaar in het nieuws dat er een dood gaat op die manier).
Het zal jou niet gebeuren, maar niet iedereen is perfect. En de target groep is iedereen die maar wil.
MulMonkey @swhnld27 september 2024 08:48
Zullen we ook een smart cam in je wc pot monteren om te kijken of je wel goed hebt geveegd na het poepen?

Extreem voorbeeld natuurlijk, maar... Hoeveel macht/controle en inkijk in ons privéleven moeten we bedrijven geven?

In de VS hebben de eerste verzekeraars al gebruikersdata van automobilisten gebruikt om hun verzekering eenzijdig duurder te maken. Dat is nog niet het ergste, wat als ze je nou ook nog toiletpapier of schoon ondergoed aanbiedingen gaan doen omdat ze hebben gezien dat je je kont niet goed veegt.
swhnld @MulMonkey27 september 2024 13:57
Dat iets mogelijk is zegt nog niet dat je het moet gebruiken of doen...

Neem de smartfoon, die verzameld heel veel informatie van mensen, en toch heeft 95% van de volwassenen er minimaal een, en ook nog eens altijd en overal bij zich waar niet verboden.
Zelfde met smart/sporthorloges.
Dus het is een afweging maken tussen de voordelen en de nadelen.
Koekstra @swhnld27 september 2024 09:25
Ja er is altijd wel een situatie te bedenken waarbij het mogelijk handig is. Maar nogmaals, dit is dan toch een oplossing voor een probleem dat er 'imo' niet écht is?
sympa @Koekstra27 september 2024 10:25
Je kan een Apple, Samsung of Google tracker gebruiken als je vergeet waar de auto staat. Of als meer dan 1 persoon die gebruikt.
Dat lijkt me een stuk beter qua privacy. Iemand die de data ziet weet nog steeds niet wat het is.
Holzschuh @sympa27 september 2024 11:43
Dat zijn net zo goed bedrijven waar je geen data mee wil delen (maar we allemaal wel doen).

Die tracker heeft waarschijnlijk een naam, en op basis van veel voorkomende locaties en verplaatsingssnelheid kom je al een heel eind.
Uiteindelijk is data op zich niet zo spannend, maar zo gauw als je die kunt gaan koppelen aan andere data kun je heel ver komen. Leg bijvoorbeeld eens de laag van alle andere aan dat account/telefoon gekoppelde apparaten er overheen en het wordt alsnog interessant.
sympa @Holzschuh27 september 2024 13:04
Je kan inderdaad wel zien dat die tracker waarschijnlijk een auto is. Maar hij kan je auto niet van slot halen. En hij vertelt ook niet of het een dure of goedkope auto betreft.
Het geeft meer data dan als je geen tracker zou gebruiken. Maar het lijkt me een stuk privacybewuster dan een auto die zichzelf bij een clouddienst meldt.
Verwijderd @swhnld27 september 2024 12:27
Nederlanders zijn hier waarschijnlijk gevoelig voor, we zijn immers ook voor alles (over)verzekerd😁.
Hoe gaat de software dat kind redden?Dat lijkt mij een ver gezocht voorbeeld.
swhnld @Verwijderd27 september 2024 13:51
Ik krijg een alert op mijn telefoon als er iemand in de auto zit en ik de deur op slot doe. Reageer ik niet gaat er daarna automatisch een alarm loeien die de omgeving waarschuwt.
Doe ik de deur niet op slot, krijg ik een alert dat de auto niet op slot is, en die alert blijft zich herhalen.

Geen van deze acties zal het kind redden, maar de kans is een stuk groter dat ik (of omgeving) ergens door gealarmeerd wordt en de fout opmerkt.
Blokker_1999
@Koekstra27 september 2024 08:52
Je kind rijdt in het weekend met de wagen weg, en jij wilt weten waar ze uithangen, dan kan je perfect zien waar je wagen is.

Het is winter, het sneeuwt en vriest, dan is het lekker handig dat jij de verwarming reeds kunt starten en dat de voorruit vrij van sneeuw en ijs is tegen dat jij daar aankomt.

Je stapt op je appartement binnen op het 7de en krijgt de melding dat je een venster bent vergeten te sluiten, dan is het handig dat je niet terug naar beneden moet om die te sluiten, maar dat gewoon vanuit de app kunt doen.

Het kunnen bedienen van de klaxon of knipperlichten is een tyisch amerikaans fenomeen. Zij hebben daarvoor ook knoppen op hun autosleutel, en dat zie je hier bij ons ook niet, net zoals de mogelijkheid om de wagen te starten in Europa niet voorkomt.
kujinshi @Blokker_199927 september 2024 10:08
Je hoeft helemaal niet te weten waar je kind met de auto is, via een app. Dat is zeer vreemd gedrag van een ouder. Ga op vertrouwen. Je weet dat een kind van 18 vrijheid wilt. Ga ze dan niet dom volgen.
segil @Blokker_199927 september 2024 10:08
- In Nederland is je kind dan al 18 jaar en heeft die persoon sowieso privacy rechten om niet gevolgd te worden, ook niet door de ouders. Sowieso, als je je kind wilt kunnen volgen als 'ie met de auto weg is, dan mist er wat vertrouwen in de relatie zeg maar.

- Dat bestaat al en heet standverwarming :) Prima in te stellen met een timer.

- Dat is gewoon luiigheid en zorgt er ook voor dat je zelf voortaan minder goed oplet, want "de techniek fixt het wel"
Klaus_1250 @Koekstra27 september 2024 08:55
Auto starten op afstand kan handig zijn voor zaken als airco of verwarming (kan bij EVs ook zonder auto te starten). In Nederland niet echt nodig, maar als je ergens bent waar het 40 graden is en je auto in de zon staat, snap je precies waarom zo'n functie erop zit.

Auto op afstand open maken kan ook handig zijn, als kinderen iets uit de auto moeten halen of als je zelf nog bezig bent maar de familie alvast in de auto willen zitten. Zeker als je mobiel je auto sleutel is, is het handig dat je de auto ook even op afstand kan opendoen.

In het verleden deden we dit natuurlijk allemaal zonder, en het hangt af wat je definitie van probleem is. Is ruiten krabben een probleem? Nee, maar het is wel fijn om in de winter elke dag 10 minuten te kunnen besparen en de auto vooraf te starten en om te warmen, zodat ie ijsvrij is als je wegrijdt.
Pannekoek17 @Klaus_125027 september 2024 11:21
Los van het argument dat ik persoonlijk liever een veilige auto heb, dan dit soort in mijn ogen relatief onzinnige features: in een wereld waar we moeten besparen op energiegebruik omdat het anders goed mis gaat voor toekomstige generaties lijken me dit toch luxes die we ons niet kunnen veroorloven.

Op een zonnige dag kan een auto van binnen wel 60 graden worden, even met de raampjes open rijden scheelt dan een slok op een borrel voor de airco.

De auto idle laten draaien om niet te hoeven krabben ook zoiets, zeker bij een benzineauto. Het is zo ongelooflijk zonder van de energie.

Nee, ik zeg niet dat we alles maar moeten laten. Maar we moeten wel keuzes maken willen we de planeet leefbaar houden. Beter dat we dan deze quick wins pakken, die toch slechts minimale ongemakken weghalen. Ik heb het wel even warm/krab wel even/loop even 2 minuten terug naar de auto. Hoe verwend zijn we geworden dat dit dingen zijn die voor ons gedaan moeten worden?
PdeBie @Klaus_125027 september 2024 10:00
n Nederland niet echt nodig, maar als je ergens bent waar het 40 graden is en je auto in de zon staat, snap je precies waarom zo'n functie erop zit.
Nou ook in NL als je auto flink in de zon heeft gestaan is het heerlijk hoor om hem alvast voor te koelen. :)
cadsite @Koekstra27 september 2024 10:36
Ik heb het allemaal niet en mis het (daarom?) ook niet.
Maar ik kan me wel momenten inbeelden dat het kan helpen.

Mijn collega had laatst zijn sleutel in de auto gelegd tijdens het inladen. Erna gooide hij zijn koffer dicht, met de sleutel binnen en de auto vergrendelde zichzelf. (hij had de koffer-open knop gebruikt).

De reserve sleutel lag op 100km ver in een kluis waar hij niet in kan. Daar sta je dan...
De app had soelaas kunnen brengen, maar hij had die service niet meer betaald.

Het had dus een hulp kunnen zijn.
david-v @Koekstra27 september 2024 11:01
Waarom zou ik mijn auto moeten kunnen lokaliseren met een app
Zodat ik of mijn vrouw weten hoe laat je thuis komt in plaats van te bellen? Of zodat je kan zien dat ze nog bij de sportschool staat dus dat je nog even moet wachten met koken. Ik gebruik die functie heel regelmatig. Buiten de mogelijkheden die het biedt als je auto gestolen wordt, als je vergeten bent de auto op slot te doen, of het raam per ongeluk een stuk open staat enz

Wat betreft knipperlicht en toeteren, het komt misschien 2 keer per jaar voor? dat ik ergens geparkeerd heb in een parkeergarage met meerdere verdiepingen en dat ik "dacht" op de x verdieping te hebben geparkeerd maar toch op y verdieping geparkeerd heb. Dan is zeker in een donkere parkeergarage superhandig dat je de verlichting kan laten knipperen.
nightgold @david-v27 september 2024 11:21
Nou, ik spreek nog met mijn vrouw af, wanneer ze verwacht thuis te komen. Als ze er niet op tijd geraakt, geeft ze even een belletje (ik wist niet dat dit tegenwoordig ook al ouderwerts of te lastig is? :+ ).
Het gebeurd wel eens dat het eten al klaar is. Ik vind het dan ook altijd rampzalig dat ik het dan nog even warm moet houden <sarcasme>.
Hoe ver kun je van elkaar afstaan, dat je localisatie gebruikt ipv met elkaar te communiceren?

Om het even helemaal in het belachelijke te trekken, vanavond even de RGB lamp boven de vaatwas laten flikkeren, om aan te geven dat het de vrouw haar beurt is om deze te ledigen? Is handig, moet je je stem niet voor gebruiken? 8)7
david-v @nightgold27 september 2024 14:39
Hoe ver kun je van elkaar afstaan, dat je localisatie gebruikt ipv met elkaar te communiceren?
ring...ring...: Hoi, hoe laat ben je thuis? .....navigatie zegt rond 16:47....ok, dank je, tot zo


Tja, communiceren doe ik heus wel met mijn vrouw, maar dit soort korte "informatieve" gesprekken bespaar ik me dan ;)
Het gebeurd wel eens dat het eten al klaar is. Ik vind het dan ook altijd rampzalig dat ik het dan nog even warm moet houden
Een stukje zalm of biefstuk warm houden is het eten (een beetje) verpesten. Dat vind ik echt zonde. Met sommige dingen kun je dat wel doen hoor, maar eten warm houden, nee, daar worden we hier in huis niet vrolijk van ;)

Techniek is vaak bedoeld om het leven net wat makkelijker/eenvoudiger te maken. Zo zie ik dat ook bij een auto. Ik maak dus gebruik van dit soort mogelijkheden omdat het voor mij makkelijker wordt. Werkt het niet door een storing? geen nood, dan kan ik alsnog gewoon bellen.

Ik bedoel, hoe moeilijk was het nou om de sleutel te gebruiken in de auto ipv de afstandsbediening? en toch gebruikt iedereen de afstandsbediening. Ik ben dan weer een stapje verder, de auto weet dat ik in de buurt ben en gaat open zonder dat ik daar iets voor hoef te doen behalve de deurhendel bedienen. Makkelijk toch? :)
gimbal @Koekstra27 september 2024 11:44
Dat soort denkwerk is helaas een uiteindelijke teleurstelling. Ik dacht altijd "lang leve de domme TV, geen gedoe met apps die niet meer ondersteunt worden, trage en gecompliceerde menu's, etc."

Ja probeer vandaag de dag nog maar eens een domme TV te kopen. Erg lastig.
HellStorm666 27 september 2024 08:18
Absurd dat een dealer zoveel remote toegang heeft.
The Zep Man
@HellStorm66627 september 2024 08:25
Absurd dat een website bestaat die dergelijke functionaliteit heeft!

Ik snap dat het in bepaalde situaties handig kan zijn voor de eigenaar, maar zelfs dan nog lijken de risico's niet op te wegen tegen de geleverde functionaliteit. Soms moet je gewoon dingen niet doen. :+

"Your scientists were so preoccupied with whether or not they could, they didn't stop to think if they should."

[Reactie gewijzigd door The Zep Man op 27 september 2024 08:30]

Blokker_1999
@The Zep Man27 september 2024 08:48
Het is geen website. Er is een website voor dealers die het mogelijk maakt het account aan te passen. Daarna is het een kwestie van API calls die de app gebruikt om in te loggen en acties op de wagen uit te voeren.

En ja, ik maak al eens gebruik van de functionaliteit om bijv. de vensters te sluiten of de klimatisatie op te starten een tiental minuten voor vertrek. In de winter, wanneer er sneeuw en ijs op je wagen ligt is het handig als je de klima al kunt starten in combinatie met de voorruit ontdooiing.
Alxndr @Blokker_199927 september 2024 09:41
Het is geen website. Er is een website...
Lol.
een tiental minuten voor vertrek.
Leren ze je tegenwoordig bij rijlessen niet meer dat je direct moet gaan rijden en als je op plek 3 of verder voor een stoplicht staat je motor uit moet zetten omdat 20 seconden je motor uitzetten al goed voor het milieu is?

De verspilling die dit soort technieken faciliteren ten behoeve van dat hele kleine beetje comfort en luiheid...

Trek gewoon warmere kleren aan en koop en krabber of bedek je ruiten.

[Reactie gewijzigd door Alxndr op 27 september 2024 09:42]

PdeBie @Alxndr27 september 2024 09:56
[...]

De verspilling die dit soort technieken faciliteren ten behoeve van dat hele kleine beetje comfort en luiheid...

Trek gewoon warmere kleren aan en koop en krabber of bedek je ruiten.
Klein beetje comfort? Het is juist super comfortabel!
Je stapt in een warme auto EN je hoeft niet te krabben. Ideaal :)
Maulet @PdeBie27 september 2024 10:54
Ja, handig, als je je motor niet hoeft te starten nog beter.
Maar dat zo iets over een server moet gaan...

Ik herinner me dat kortgeleden bij het kopen van slimme stekkerdozen je moest opletten om die merken te kopen die geen server-account van de fabrikant nodig hadden. Dat heb ik gedaan. Gewoon een W-LAN systeem.
Prince @Maulet27 september 2024 12:37
Niet iedereen heeft een parkeerplaats die binnen je wlan bereik valt. Ook wil je deze functies misschien net gebruiken als hij niet op je oprit staat?

Wil je deze features dus altijd en bij iedereen kunnen gebruiken, dan moet je gebruik maken van het mobiele netwerk.

Jouw slimme stekkers die lokaal werken, werken ofwel via een Home Assistant (of dergelijke) server of jouw applicatie scant jouw lokale netwerk af, naar alle beschikbare stekkers.

Op het Internet is dat niet zo vanzelfsprekend. Begrijpelijk is het niet haalbaar om de volledige IP range af te scannen in de hoop dat het jouw auto is.

Je moet dus werken met een server; daar zijn op zich 2 opties.
A. de server houdt bij wat het ip is van de auto en stuurt dit door naar jouw applicatie.
B. de server werkt als (al dan niet intelligente) proxy tussen jou en de auto.

Bij A is het lastig omdat je nooit weet of er een firewall tussen zit en je hebt dan ook de situatie waarin de auto op zich verantwoordelijk is voor autorisatie en beveiliging.

Bij B is die server verantwoordelijk om alles af te schermen (DDOS, exploits, ...) en autorisatie. Het is dan de auto die een websocket connectie (oid) legt en wacht op commando's of af en toe data doorstuurt.

Eens dat er ook foute implementaties bestaan van "optie B" - zoals hier. Maar meestal is dat wel een handige manier om dingen te doen.

Je kan bvb 1 applicatie schrijven die bepaalde API calls doet en die server zal deze vertalen naar iets wat de auto begrijpt. Zo kunnen ze de software van de auto's aanpassen zoveel ze willen en zelfs de achterliggende calls helemaal aanpassen (bij bvb nieuwe auto's), zonder dat dit vereist dat alle auto's en applicaties ook een update dienen te krijgen.
gevoelig @Prince27 september 2024 14:42
Of je gebruikt een lokale timer zoals vroeger stand verwarming werkte...

(en waarschijnlijk de meeste nog steeds?)
Maulet @Prince27 september 2024 19:45
Hartelijk bedankt voor de uitleg @Prince !!! Ik neem m'n hoetje af!
Ik was niet bewust dat de server niet de telecom / ISP is/kan zijn. Er moet iets tussen komen. Meer of minder net zo als de app van, zeg maar, je W-D My Cloud NAS of Satisfyer... 😜
Prince @Maulet28 september 2024 09:53
Fijn dat je laat weten dat je mijn uitleg apprecieert. Gezien jouw reactie denk ik dat je mogelijk nog nuttige zaken kan halen uit onderstaande uitleg. Dit natuurlijk met het doel dat we van elkaar kunnen leren - dat is tenslotte het doel van een community.

Een ISP verzorgt eigenlijk gewoon de toegang tot het Internet. (zoals de naam het zegt: Internet Service Provider) Het Internet op zich is 'gewoon' het verbinden van verschillende netwerken zodat deze onderling kunnen praten. Net zoals je thuis netwerkpakketjes kan sturen van het ene device naar het andere, kan je dat via je ISP over het Internet ook. Om een analogie te maken is een thuisnetwerk een stad of dorp en het Internet zijn de autostrades of grote banen die de steden verbinden.

Een server is in die analogie dan een gebouw waarin diensten verleend worden. Deze moet aan een straat liggen als je wilt dat er mensen ook geraken.
Dit in tegenstelling tot een 'isolated network'. Dat zijn gebouwen die met straten verbonden zijn, maar geen manier hebben om tot een autostrade of de rest van die stad te geraken. Een mooi voorbeeld daarvan is een docker netwerk.
Wat bij docker wel vaker gebeurt is dat er 1 gebouw is dat aan 1 kant aan een "publieke straat" ligt en aan de andere kant aan een geïsoleerde straat ligt. Zo kan iedereen naar dat ene publieke gebouw gaan, maar enkel dat gebouw kan op zich naar de achterliggende diensten gaan. (dat publieke gebouw wordt dus een soort van loket)
Maulet @Prince28 september 2024 12:37
Leuk, maar zo vereenvoudigd hoefde het nou ook niet, maar mischien iemand anders van het forum kan er gebruik van maken. Uitstekende pedagogie ;) Ik zou je +1 geven maar dat kan ik nog niet.
ninjazx9r98 @Maulet27 september 2024 12:29
Welk WLAN ga je in geval van een auto gebruiken als je bijvoorbeeld op vakantie bent en de airco of verwarming aan wil zetten voor vertrek? Of buiten de auto de airco aanzetten als het warm is en je de hond of honden even alleen in de auto wil laten?
Maulet @ninjazx9r9827 september 2024 19:39
Sorry, was niet het beste woord. Maar de auto heeft toch een SIM dan? Dan kan een peer-to-peer verbinding via internet/GSM gemaakt worden?
watercoolertje @Alxndr27 september 2024 10:17
Leren ze je tegenwoordig bij rijlessen niet meer dat je direct moet gaan rijden en als je op plek 3 of verder voor een stoplicht staat je motor uit moet zetten omdat 20 seconden je motor uitzetten al goed voor het milieu is?
Tegenwoordig? 20 jaar geleden ook niet hoor, alleen bij een dichte spoorwegovergang geleerd uit te zetten.

Sowieso hebben de meeste auto's met connectie naar je telefoon wel iets van automatische start/stop dus daar hoef je zelf ook niet (meer) mee bezig te zijn. Dat is nou net het voordeel van een modernere auto ;)

En mensen aanspreken op functies die comfort opleveren terwijl ze al in een zuiniger (want nieuwer) dan gemiddelde auto rijden is wat gek. Ga dan lekker klagen over mensen waarvan je de uitlaatgassen letterlijk ruikt als je er 100 meter achter rijdt en zwarte rook uit de uitlaat komt als ze schakelen/optrekken...

[Reactie gewijzigd door watercoolertje op 27 september 2024 10:21]

SMGGM @HellStorm66627 september 2024 08:26
Begrijpbare reactie, al snap ik wel dat er vraag is naar opties als "waar is mijn auto" of de mogelijkheid om je auto te starten met je smartphone. Deze opties lijken met dan al snel te leiden naar de macht dat de fabrikant je wagen kan tracken of hem kan openen/sluiten.

Vandaar is nog eenvoudig om een auto te vinden die zulke dingen nog niet kan, maar op termijn zal het vermoedelijk een even moeilijke zoektocht worden als een tv zonder smart opties.
Voor de fabrikant is het dan weer een nieuw verdienmodel.
xoniq @SMGGM27 september 2024 08:30
Maar niet via een website! Dat moet je gewoon binnen een app houden met daadwerkelijke login.
lepel @xoniq27 september 2024 08:36
Een website is in feite niets meer dan een app. Wil je dat je jouw voertuig via GPS kunt vinden of op afstand kunt besturen dan heb je al snel een internet verbinding nodig met een backend. Want anders ben je beperkt tot vrij korte afstanden wanneer je direct contact wilt maken.

In dit geval ging het om API calls die de onderzoekers uitbuitten, dat zal niet anders zijn dan via een app.

[Reactie gewijzigd door lepel op 27 september 2024 08:37]

The Zep Man
@lepel27 september 2024 08:38
Een website is in feite niets meer dan een app.
Er is zoveel mis met dit...

Een website biedt in dit geval een online dienst aan, benaderbaar via een browser. Online diensten kunnen ook benaderbaar zijn via mobiele applicaties. Mobiele applicaties hoeven geen online diensten te gebruiken, maar kunnen naargelang hun functionaliteit helemaal offline werken.

Dat laatste zal in dit geval niet gaan, uiteraard. Toch zijn er voldoende vraagtekens te zetten bij dergelijke functionaliteit, zoals over de kans op misbruik, het gebrek aan secure by design (evident aan het gevonden lek), etc.

[edit]
Tracking van een auto en simpele opdrachten op afstand uitvoeren zou ook prima met versleutelde berichten via SMS kunnen. Geen internetverbinding nodig, en kan via een mobiele applicatie bruikbaar zijn.

[Reactie gewijzigd door The Zep Man op 27 september 2024 08:59]

lepel @The Zep Man27 september 2024 08:52
Ik doel dan natuurlijk ook op de functionaliteit in dit geval, in dit geval is een app niks meer dan een website. Een frontend die aanspraak maakt op online APIs om zo op afstand functies uit te voeren voor jouw auto.

Flappy bird is natuurlijk niet praktisch hetzelfde als een website maar wat ik wilde zeggen leek mij duidelijk genoeg.
Qwerty-273 @xoniq27 september 2024 08:43
Alles is tegenwoordig een cloud app / saas. Dus die app draait gewoon in de cloud, en aangezien elke dealer niet zit te wachten op moeilijke vpn toegang of lastige accounts met voldoende beveiliging. Dan kan heel eenvoudig dit ontstaan. De beveiliging is bij auto's altijd, al sinds de eerste, een ondergeschoven kindje geweest. Dat is bij alles daar aan gerelateerd het geval, dus ook zo'n hippe portal waar geen enkele rekening wordt gehouden met de stappen die deze onderzoekers hebben ondernomen tot het verkrijgen van de volledige toegang.

Vergelijk het met een dure auto met toeters en bellen kwa sloten en alarm. Maar boor een gaatje in de koplamp, draai het lampje er uit en schroef een verloopje naar jouw laptop er in, in de meeste gevallen heb je dan direct toegang tot het netwerk van de auto waar alle data en aansturing over gaat. Een ideale ring die alles met elkaar verbindt is een stuk goedkoper dan gescheiden netwerken (dus meer kabeltjes) in de auto.
mjtdevries @Qwerty-27327 september 2024 11:30
Bij welke autos is dat dan?
Ik heb regelmatig de lampjes bij de koplamp vervangen en daar zitten alleen wat stroomdraden voor die lamp maar geen netwerk draden.
Qwerty-273 @mjtdevries27 september 2024 12:18
Alles waar CAN-bus ook de koplampen mee neemt. Ok wellicht niet direct de stroomdraad maar wel de canbus draad die daar ook loopt. Zoek op headlight hacking, of lees bijvoorbeeld https://kentindell.github.io/2023/04/03/can-injection/

[Reactie gewijzigd door Qwerty-273 op 27 september 2024 12:20]

mjtdevries @Qwerty-27327 september 2024 12:27
Jij claimt:
in de meeste gevallen heb je dan direct toegang tot het netwerk van de auto waar alle data en aansturing over gaat.
Nu kom je met één voorbeeld over één model. Ik zie geen enkele reden om aan te nemen dat het bij de meeste modellen geld.

En in dit artikel kun je zien dat ze niet een gaatje geboord hadden maar de hele unit er uit gerukt hadden en ook het hele paneel onder de unit los getrokken was.

Het is een goede waarschuwing dat het body work van een auto niet inbraakveilig is en dus de CAN-bus ook niet. Maar jouw voorstelling van zaken wijkt nogal af van het artikel.
mjtdevries @SMGGM27 september 2024 11:26
Begrijpbare reactie, al snap ik wel dat er vraag is naar opties als "waar is mijn auto" of de mogelijkheid om je auto te starten met je smartphone.
Ik snap dat niet. Ik kan me met de beste wil van de wereld niet voorstellen waarom je je auto zou willen starten met je smartphone.

Ik kan me voorstellen waarom luie mensen 's ochtends de auto willen laten verwarmen zodat ze niet hoeven te krabben. Ik kan me voorstellen waarom mensen hun autosleutel niet uit hun zak/tas willen halen om de deur open te doen.
Ik kan me voorstellen dat je smartphone als autosleutel gebruikt.

Maar de auto starten met je smartphone? Waarom??
SMGGM @mjtdevries27 september 2024 12:32
Om dezelfde reden dat ze willen betalen met smartphone, al hun klantenkaarten daarop willen, hun voordeur willen kunnen openen met smartphone,…
Dit hoeft niet zozeer de smartphone te zijn, maar het is vandaag wel het toestel dat dit kan en dat iedereen vandaag al meeheeft.
mjtdevries @SMGGM27 september 2024 12:36
Want je smartphone uit je broekzak of tas halen is handiger dan simpelweg op de start knop drukken???

Volgens mij heb je mijn eerdere reactie niet goed gelezen.
The Zep Man
@SMGGM27 september 2024 08:29
Vandaar is nog eenvoudig om een auto te vinden die zulke dingen nog niet kan, maar op termijn zal het vermoedelijk een even moeilijke zoektocht worden als een tv zonder smart opties.
Een TV zonder smartopties hoef je niet aan het internet te hangen en kan je gewoon als domme TV gebruiken.
wica @HellStorm66627 september 2024 08:28
Yep, dit moet naar mijn mening ook erg beperkt gaan worden bij wet.
Je koopt een auto, waarmee het jouw eigendom is. En dan heeft de dealer of iemand anders geen recht op toegang tot je auto.
CAPSLOCK2000
@wica27 september 2024 12:48
Yep, dit moet naar mijn mening ook erg beperkt gaan worden bij wet.
Je koopt een auto, waarmee het jouw eigendom is. En dan heeft de dealer of iemand anders geen recht op toegang tot je auto.
Dat wordt al "opgelost" maar ik ben bang dat je niet blij bent met de oplossing. Autofabrikanten willen maar wat graag een huur/abonnement-systeem invoeren zodat ze iedere maand inkomsten hebben.

Ze (oa Tesla en BMW) experimenteren al met features waar je via een abonnement voor moet bijbetalen.
Ik verwacht dat er steeds meer slimme software zoals autonoom rijden alleen met een abonnement beschikbaar wordt.

Overigens niet alleen uit financiele redenen maar ook omdat je de gebruiker/passagier moeilijk verantwoordelijk voor ongelukken kan houden als de auto volledig zelf stuurt. Juridisch gezien is het makkelijker als je de auto huurt van de fabrikant die technisch gezien de eigenaar blijft.

Bijkomend worden auto's steeds verder dichtgetimmerd. Fabrikanten zien gebruikers tegenwoordig als vijand die uit "hun" product gehouden moet worden, net zoals telefoons, tvs en computers er op toe zien dat de gebruiker geen films kopieert. In het geval van (relatief) gevaarlijke apparaten als auto's zal het niet moeilijk zijn om de politiek te overtuigen dat je het te gevaarlijk is om mensen zelf de software van hun auto te laten bedienen, laatstaan aanpassen. Tot op zekere hoogte heb ik daar zelfs begrip voor maar het zal ons wel helemaal overleveren aan de nukken van fabrikanten die geld willen.


Dat zal niet van vandaag op morgen de wereld veranderen.
wica @CAPSLOCK200027 september 2024 12:59
Dit is idd de richting die ik ook zie. Maar idd ik word er niet blij van, van alle controles op de vrijheden van de mensen.
Alex3 @wica27 september 2024 14:18
Inderdaad. In feite is niet alleen de website, maar ook de auto lek.
Blokker_1999
@HellStorm66627 september 2024 08:41
Heeft ie ook niet, maar deze heeft wel de mogelijkheid om de basisgegevens van het account dat gekoppeld is aan de wagen te veranderen. En als je dat eenmaal kan, dan kan het nieuwe account toegang krijgen via de app. Dit om het eenvoudiger te maken om bij verkoop van een voertuig het account over te zetten naar de nieuwe eigenaar.
Jean Paul @HellStorm66628 september 2024 18:19
Sommige automerken hebben al een complete interface en dashboard waarop al hun voertuigen zichtbaar zijn op een kaart. Klik op een voertuig en je hebt alle informatie. Gegevens van de eigenaar, staat van de auto, alle "diagnostics" en meer. Kunnen de auto immobiliseren, en meer. Nul privacy.
Arno 27 september 2024 08:23
Dit hadden ze eerder mogen herstellen, mijn Ceed is door deze vulnerability gestolen in mei.
Zyzzjan @Arno27 september 2024 08:27
Amai,
Wat een belachelijke manier om je auto zo te verliezen.
Christoxz @Arno27 september 2024 08:27
Ceed was niet kwetsbaar met deze methode.
OMX2000 @Arno27 september 2024 08:28
Kun je dit met zekerheid vaststellen? Want dat zou impliceren dat ze er al een tijd van op de hoogte zijn, terwijl ze beweren dat het gat nooit misbruikt is.
Arno @OMX200027 september 2024 08:46
Ik kreeg een week of 2 later een bericht dat het een bekende vulnerability was. Kia en security updates kunnen het bij mij dus niet meer door hetzelfde straatje :)
ManiacsHouse @Arno27 september 2024 08:58
Hoe is dit vervolgens opgelost dan? Andere auto gekregen of zegt de dealer dikke pech auto weg al was het onze fout. :?
Arno @ManiacsHouse27 september 2024 09:23
Leasemaatschappij liet me in oost Europa staan, daarna een wagen besteld bij een andere maatschappij.
vanaalten @Arno27 september 2024 08:28
Dat kan niet: "Volgens Kia is dit lek nooit uitgebuit door een kwaadwillende."

(het zou kunnen dat je auto door dit lek is gestolen, maar er zijn vast ook andere manieren waarop auto's gestolen worden)
Klaus_1250 @vanaalten27 september 2024 08:58
Het kan zijn dat ze alles loggen en de logs bewaren.Ik neem eigenlijk wel aan dat alle remote calls naar een auto worden bijgehouden, als is het maar voor foutopsporing in de app of board computer.
sympa @Klaus_125027 september 2024 10:28
Voor de aanval wordt de primaire eigenaar van het account veranderd. Iets wat hopelijk wel historie achterlaat in het systeem.
Blokker_1999
@Arno27 september 2024 08:55
De kans lijkt mij veel groter dat er een andere methode is gebruikt. Als hij voor je huis is gestolen kan het gewoon een relay aanval zijn geweest bijvoorbeeld. En eenmaal de wagen is gestart is het kinderlijk eenovoudig om de connectie met Kia Connect van in de wagen te verbreken. Dat je met de Kia Connect app dus de locatie niet meer kon opvragen is geen enkel bewijs dat deze exploit daarvoor gebruikt is.
rajackar 27 september 2024 08:19
Wat een enorme fail van Kia zeg.
Maar wat mij nog het meest verbaast, is dat dealers kennelijk deze verregaande toegang hebben zonder tussenkomst van de eigenaar.
Als ik het artikel lees is het "by design" dat elke dealer bij elke Kia auto kan komen. Dat is op zich al een vreselijk slecht security design omdat je dan met een simpel lek als dit het hele systeem open legt voor een aanvaller.
Een goed security design houdt er rekening mee dat het een keer mis kan gaan en dat de impact van een security incident zo klein mogelijk is.
Dit ontwerp lijkt precies andersom te zijn gemaakt.

[Reactie gewijzigd door rajackar op 27 september 2024 08:21]

TechHead @rajackar27 september 2024 08:25
Dat is (helaas) niet alleen zo bij Kia. Veel auto's hebben opties die met software aan/uit gezet kunnen worden. Niet alles kan )nog niet) remote denk ik, maar het is bewezen dat Tesla de accu capaciteit remote kan instellen. Paar jaar geleden was er een 'ramp' in de VS en mensen moesten de stad verlaten. Tesla kwam toen naar buiten met een PR bericht dat ze bij alle Tesla's de maximale range tijdelijk hebben unlocked zodat iedere Tesla rijden een maximale kans had het gebied te verlaten. Dat gebeurde remote. Dus in theorie zouden kwaadwillenden ook met de range kunnen kloten.
Leonidas2 @TechHead27 september 2024 08:43
Maar auto overdracht is bij Tesla een stuk professioneler ingericht hoor. Ik heb een paar maanden terug een tweedehands Tesla gekocht en kreeg pas toegang tot de auto via app na foto’s van kenteken en rijbewijs te hebben doorgestuurd. Werd ook nog gevalideerd.
PCRaceMASTER @Leonidas227 september 2024 09:50
rijbewijs te hebben doorgestuurd.
Het is een 2e handse auto, waarom zouden ze een kopie van je rijbewijs nodig hebben?
Bor Coördinator Frontpage Admins / FP Powermod
@PCRaceMASTER29 september 2024 16:05
Ter identificatie; ben jij echt wie je zegt te zijn.
CAPSLOCK2000
@Leonidas227 september 2024 13:16
Hoe is dat beter of anders?

Tesla heeft op afstand controle over al die auto's. Ze kunnen aan de voorkant wel procedures hebben om rijbewijzen te controleren maar dit probleem zit daar niet. Dit probleem zit in het back-end systeem. Als je daar toegang tot hebt dan kun je de voorkant overslaan en hoef je niks te laten controleren.

Tesla kiest er voor om je rijbewijs te controleren, maar dat is hun keuze. Als ze morgen besluiten om alle controles af te schaffen dan kan dat. Ik neem aan dat Kia ook wel controles doet (anders was er geen hack nodig geweest). Het fundamentele probleem is dat ze op afstand toegang hebben tot die auto's hebben via een centraal systeem, Bij een fout (die vroeg of laat altijd zal optreden waar mensen werken) is de ramp groot en eenmaal lek is het erg lastig om de boel weer veilig te krijgen.
rajackar @TechHead27 september 2024 08:34
Tja, dat is ook niet wenselijk maar nog wel iets anders. Hoop ik tenminste.
Als ik dit artikel lees, heeft namelijk elke dealer toegang tot elke Kia wereldwijd. Dat is een bizar slecht ontwerp.
Ik mag hopen dat dat bij Tesla toch wat anders werkt
NuEffeNiet @TechHead27 september 2024 08:36
Dat de fabrikant dat kan is iets heel anders dan dat een medewerker bij een willekeurige dealer dat kan.

Ik ben ook benieuwd naar de logging, tracability en controle daarvan bij dit soort ingrijpende mogelijkheden ‘with great power comes great responsibility’. Daar mogen inmiddels ook wel eisen aan gesteld worden door de overheid, denk hierbij aan audits en screening van de medewerkers met toegang tot dit soort systemen.
CAPSLOCK2000
@NuEffeNiet27 september 2024 13:03
Dat de fabrikant dat kan is iets heel anders dan dat een medewerker bij een willekeurige dealer dat kan.
Mwoah, ik vind het verschil verwaarloosbaar. Een van de lessen uit de security & cryptografie wereld is dat volledige centrale controle geen goed idee is. Geheime lopers en masterkeys lekken altijd uit, zeker als je er gebruik van wil maken en ze dus niet in afgesloten kluis kunnen blijven liggen.

Als één iemand overal bij kan, dan iedereen overal bij.
Het is alleen een kwestie van tijd voor de sleutel lekt of de beveiliging wordt gekraakt.
In een groot bedrijf zal het nooit één iemand zijn en zodra je met klanten te maken hebt wordt het klantcontact waarschijnlijk gedaan door slecht betaalde inhuurkrachten, die dan op een of andere manier toegang moeten krijgen tot de centrale supergeheime sleutel.

Centrale toegang is daarom riskant. Het heeft natuurlijk wel andere voordelen, maar als eigenaar van de auto zou je zelf de keuze moeten hebben of en wie er op afstand toegang hebben tot je auto.
latka 27 september 2024 08:21
Volgens Kia is dit lek nooit uitgebuit door een kwaadwillende.
Dit is inmiddels zo'n nietszeggende dooddoener geworden: als ze dit soort security problemen hebben in hun software dan zou de logging, wat t.o.v. de primaire functionaliteit van de software een ondergeschoven kindje is, wel betrouwbaar zijn?
Christoxz @latka27 september 2024 08:32
Er moest een dealer account aangemaakt worden. Dus stel dat alle aangemelde dealers in de database legitiem waren, kan je stellen dat de lek, in deze vorm nooit is misbruikt.
Tenzij een van de dealers, of mensen daar met toegang dit hebben misbruikt.
latka @Christoxz27 september 2024 08:35
Of de onderzoekers hebben een andere route gemist. Een security probleem als deze komt nooit alleen.
Aardwolf @Christoxz27 september 2024 09:20
De dealer is nogal abstract, maar inderdaad degene met toegang tot het portaal. We weten niet tot hoever die toegang ging, was het slechts enkele personen op kantoor of tot de werkplaats stagiair aan toe? Het lijkt mij namelijk dat bij auto's die daar opeens ter reparatie worden gebracht dan toegankelijk moeten zijn, bijv. om defecte functies te testen. In dat geval was het risico tot misbruik zeer laagdrempelig en mogen we blij zijn dat niemand er bewust van was en misbruik is gemaakt.

Sowieso is ook nog maar de vraag hoe het systeem misbruik constateert, want een legitieme dealer zou dus volgens bovenstaande alsnog voor de lol gegevens kunnen invoeren. Wie controleert wanneer een dealer toegang verkrijgt dat dit op zichzelf legitiem is? Dan zou je een GPS match, andere niet digitaal vindbare identifier of iets als een tijdelijke totp verwachten, zodat het alleen goedgekeurd kan worden wanneer de auto ook daadwerkelijk in de garage van de dealer is of zeer recent is geweest.

[Reactie gewijzigd door Aardwolf op 27 september 2024 09:22]

Frogmen 27 september 2024 08:30
Misschien eerst even goed lezen voordat je reageert, Dealers kunnen invloed hebben op het eigenaarschap van de auto en dat wordt misbruikt. Kortom eerst naar een andere eigenaar met account en dan kan die alles van de auto zien. Nog steeds naar, maar wel iets anders dan dat iedere dealer kan zien waar een auto is en rechtstreeks van alles kan.
.oisyn Moderator Devschuur® @Frogmen27 september 2024 08:37
Dat kan de dealer effectief ook, door even van eigenaar te wisselen. Al neem ik wel aan dat dat betekent dat de echte eigenaar het op dat moment niet meer zelf kan.
Frogmen @.oisyn27 september 2024 08:44
Ja dat kan, maar hoe lang denk je dat je nog dealer bent als je dat doet of denk je dat je je baan niet kwijtraakt als je het als medewerker doet. Dit zijn grappen die alles met vertrouwen te maken hebben en ook nuttig zijn.
Wat als een geleasde auto wordt ingeleverd maar de berijder is ontslagen en wil wraak nemen, dan moet een dealer toch echt dat account kunnen ontkoppelen. Dus er is een goede reden dat het kan.
proatjeboksem 27 september 2024 08:35
Ik mag toch hopen dat je die toegang vanaf het internet kunt uitzetten in je kia.
Dat zoiets alleen vanaf een lokaal netwerk kan.

Deed me trouwens denken aan dat filmpje van Top Gear destijds met een Opel Corsa / Vauxhall Nova
YouTube: Jeremy Clarkson shows how to steal a Vauxhall Nova - Top Gear
Klaus_1250 @proatjeboksem27 september 2024 09:04
Ik heb dat nooit kunnen vinden in mijn eNiro. Heb wel 18 maanden rondgereden met een boordcomputer die compleet kon doordraaien omdat er een software update functie was die vastliep en de laagspanningsaccu leeg trok.
En bij een te lage spanning ... treden er spontaan allerlei noodsystemen in actie en kan je de auto ook niet meer uitzetten. Je moet de accu loskoppelen onder de motorkap. Zelfs de alarmlichten werken op zo'n moment niet meer.
proatjeboksem @Klaus_125027 september 2024 09:26
Dan zit je ook niet lekker achter het stuur.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq